ACL访问控制列表配置实例 (一)

标准访问控制列表

GNS 3中拓扑实验,配置一台路由设备,一台交换设备,分别连接三台PC机,三台PC机分别配置IP地址,并在路由设备中配置网关,如下图所示,配置完成后配置标准访问控制列表,禁止PC1PC3通信,PC2PC3正常通信。


1、首先进入交换设备进行配置

sw#conf t                             //进入全局模式
Enter configuration commands, one per line.  End with CNTL/Z.
sw(config)#no ip routing              //进入交换设备,关闭路由功能
sw(config)#int f1/0                   //进入f1/0接口
sw(config-if)#speed 100               //配置速率100
sw(config-if)#duplex full             //开启双工模式

2、进入路由设备,配置接口IP地址

R1#conf t                                          //进入全局模式
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#int f0/0                                //进入f0/0接口
R1(config-if)#ip add 192.168.10.1 255.255.255.0    //添加IP地址
R1(config-if)#no shutdown                          //开启接口
R1(config-if)#int f0/1                             //进入f0/1接口
R1(config-if)#ip add 192.168.20.1 255.255.255.0    //添加IP地址
R1(config-if)#no shutdown                          //开启接口
R1(config-if)#exit
R1(config)#do show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

C    192.168.10.0/24 is directly connected, FastEthernet0/0
C    192.168.20.0/24 is directly connected, FastEthernet0/1

3、分别进入PC机,设置IP地址

PC1> ip 192.168.10.2 192.168.10.1
Checking for duplicate address...
PC1 : 192.168.10.2 255.255.255.0 gateway 192.168.10.1
PC2> ip 192.168.10.3 192.168.10.1
Checking for duplicate address...
PC1 : 192.168.10.3 255.255.255.0 gateway 192.168.10.1
PC3> ip 192.168.20.2 192.168.20.1
Checking for duplicate address...
PC1 : 192.168.20.2 255.255.255.0 gateway 192.168.20.1

4、先测试PC1与PC2是否可以与PC3通信

PC1> ping 192.168.20.2
192.168.20.2 icmp_seq=1 timeout
84 bytes from 192.168.20.2 icmp_seq=2 ttl=63 time=20.913 ms
84 bytes from 192.168.20.2 icmp_seq=3 ttl=63 time=14.960 ms
84 bytes from 192.168.20.2 icmp_seq=4 ttl=63 time=17.917 ms
PC2> ping 192.168.20.2
84 bytes from 192.168.20.2 icmp_seq=1 ttl=63 time=19.021 ms
84 bytes from 192.168.20.2 icmp_seq=2 ttl=63 time=23.997 ms
84 bytes from 192.168.20.2 icmp_seq=3 ttl=63 time=21.941 ms
84 bytes from 192.168.20.2 icmp_seq=4 ttl=63 time=13.966 ms

5、在路由设备中配置标准访问控制列表,禁止PC1与PC3通信

R1(config)#access-list 1 deny 192.168.10.2 0.0.0.0
R1(config)#do show access-list
Standard IP access list 1
    10 deny   192.168.10.2
R1(config)#access-list 1 permit any
R1(config)#do show access-list
Standard IP access list 1
    10 deny   192.168.10.2
    20 permit any
R1(config-if)#ip access-group 1 in

6、测试PC1是否可以与PC3通信

PC1> ping 192.168.20.2
*192.168.10.1 icmp_seq=1 ttl=255 time=9.943 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=2 ttl=255 time=3.990 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=3 ttl=255 time=9.014 ms (ICMP type:3, code:13, Communication administratively prohibited)

7、测试PC2与PC3是否可以正常通信

PC2> ping 192.168.20.2
192.168.20.2 icmp_seq=1 timeout
192.168.20.2 icmp_seq=2 timeout
84 bytes from 192.168.20.2 icmp_seq=3 ttl=63 time=17.958 ms
84 bytes from 192.168.20.2 icmp_seq=4 ttl=63 time=19.981 ms

扩展访问控制列表

实验需求:

允许Win10访问Linuxweb服务

禁止Win10访问linux的其他用务

允许Win10访问Win10-2主机

首先在GNS 3中拓扑实验图,配置一台路由设备,在路由设备中添加一个网络接口,配置三台真实主机,一台Linux系统,两台win10系统,分别连接路由设备,并在VMware中开启主机,给三台主机分别绑定VMnet1、VMnet2、VMnet3网卡,然后分别与路由器相连,并在路由器接口处标出将要划分的三个网段,如图:

1、在Linux系统中安装FTP与HTTP服务

[[email protected] ~]# yum install vsftpd -y
已加载插件:fastestmirror, langpacks
base                                                                  | 3.6 kB  00:00:00
extras                                                                | 2.9 kB  00:00:00
updates                                                               | 2.9 kB  00:00:00
(1/4): base/7/x86_64/group_gz                                         | 165 kB  00:00:00
...//省略部分内容...
Running transaction
  正在安装    : vsftpd-3.0.2-25.el7.x86_64                                               1/1
  验证中      : vsftpd-3.0.2-25.el7.x86_64                                               1/1 

已安装:
  vsftpd.x86_64 0:3.0.2-25.el7                                                               

完毕!
[[email protected] ~]# yum install httpd -y
已加载插件:fastestmirror, langpacks
Loading mirror speeds from cached hostfile
 * base: mirrors.nju.edu.cn
...//省略部分内容...
已安装:
  httpd.x86_64 0:2.4.6-90.el7.centos                                                         

作为依赖被安装:
  apr.x86_64 0:1.4.8-5.el7                           apr-util.x86_64 0:1.5.2-6.el7
  httpd-tools.x86_64 0:2.4.6-90.el7.centos           mailcap.noarch 0:2.1.41-2.el7          

完毕!

2、更改Linux系统中网卡信息,并在VMware中绑定VMnet2网卡并重启虚拟机。

[[email protected] ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens33
UUID=2ef6b862-5201-48c5-a450-23b3720ab3a0
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.100.100
NTEMASK=255.255.255.0
GATEWAY=192.168.100.1
~
~
:wq

3、分别给两台Win10设备绑定网,然后分别配置固定IP地址,并关闭防火墙。

4、在GNS 3中开启设备,并进路由入设备进行配置接口IP地址

R1#conf t                                     //进入全局模式
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#int f0/0                           //进入f0/0接口
R1(config-if)#ip add 192.168.1.1 255.255.255.0  //配置IP地址
R1(config-if)#no shut                             //开启接口
*Mar  1 00:05:30.323: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*Mar  1 00:05:31.323: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
R1(config-if)#int f0/1                           //进入f0/1接口
R1(config-if)#ip add 192.168.100.1 255.255.255.0 //配置IP地址
R1(config-if)#no shut                             //开启接口
*Mar  1 00:06:16.031: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
*Mar  1 00:06:17.031: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
R1(config-if)#int f1/0                          //进入f1/0接口
R1(config-if)#ip add 192.168.2.1 255.255.255.0  //配置IP地址
R1(config-if)#no shut                            //开启接口
*Mar  1 00:06:35.815: %LINK-3-UPDOWN: Interface FastEthernet1/0, changed state to up
*Mar  1 00:06:36.815: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up
R1(config-if)#do show ip route                     //查看路由表
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

C    192.168.1.0/24 is directly connected, FastEthernet0/0
C    192.168.2.0/24 is directly connected, FastEthernet1/0          //显示网段信息
C    192.168.100.0/24 is directly connected, FastEthernet0/1

5、测试网络连通性

6、在Linux系统中编辑HTTP服务站点信息,并启动服务,启动FTP服务。

[[email protected] ~]# cd /var/www/html/            //进入站点
[[email protected] html]# vim index.html            //编辑网页
<h1>this is test wed</h1>                        //编辑内容
~
~
:wq                                               //保存退出
[[email protected] html]# systemctl start httpd      //启动httpd服务
[[email protected] html]# systemctl stop firewalld.service   //关闭防火情
[[email protected] html]# setenforce 0                 //关闭增强性安全功能
[[email protected] html]# systemctl start vsftpd        //启动FTP服务
[[email protected] html]# netstat -ntap | egrep ‘(21|80)‘   //查看服务是否端口
tcp6       0      0 :::80                   :::*                    LISTEN      3437/httpd
tcp6       0      0 :::21                   :::*                    LISTEN      3766/vsftpd
[[email protected] html]# cd /var/ftp/         //进入FTP站点
[[email protected] ftp]# echo "this is ftp" > ftp_test.txt   //生成txt文件
[[email protected] ftp]# ls           //查看站点内容
ftp_test.txt  pub                  //显示站点内容

7、在win10设备中测试HTTP与FTP服务是否提供。

8、在GNS 3路由设备中配置ACL访问控制条目

R1(config)#access-list 100 per               //设置win10主机允许访问Linux系统HTTP服务
R1(config)#$ 100 permit tcp host 192.168.1.2 host 192.168.100.100 eq www
R1(config)#do show access-li                  //查看
Extended IP access list 100
    10 permit tcp host 192.168.1.2 host 192.168.100.100 eq www   //显示列表信息
R1(config)#access-list 100 deny ip host 192.168.1.2 host 192.168.100.100  //配置拒绝访问Linux其他服务
R1(config)#do show access-li                   //查看
Extended IP access list 100
    10 permit tcp host 192.168.1.2 host 192.168.100.100 eq www
    20 deny ip host 192.168.1.2 host 192.168.100.100                  //显示列表信息
R1(config)#access-list 100 permit ip host 192.168.1.2 192.168.2.0 0.0.0.255
//配置win10设备允许访问win10 2设备
R1(config)#do show access-li                 //查看
Extended IP access list 100
    10 permit tcp host 192.168.1.2 host 192.168.100.100 eq www
    20 deny ip host 192.168.1.2 host 192.168.100.100
    30 permit ip host 192.168.1.2 192.168.2.0 0.0.0.255      //显示列表信息
R1(config)#int f0/0                 //进入接口
R1(config-if)#ip access-group 100 in    //将配置应用在接口,进入方向

9、测试配置结果

原文地址:https://blog.51cto.com/14473285/2444668

时间: 2024-10-01 06:34:21

ACL访问控制列表配置实例 (一)的相关文章

ACL访问控制列表配置实例(二)

命名访问控制列表 需求 允许vlan10中PC2主机可以访问PC1 拒绝vlan10中其他主机访问PC1 允许其他网段中的主机访问PC1 1.在GNS 3中构建拓扑实验,并在拓扑区域标出主机接口.IP地址.需求.网关等信息,如图所示: 2.开启全部设备,并先在交换设中配置vlan信息 sw#conf t //进入接口模式 Enter configuration commands, one per line. End with CNTL/Z. sw(config)#vlan 10,20 //添加v

ACL访问控制列表(标准、拓展、命名控制列表)的配置实例

实例一:标准访问控制列表的配置 拓扑图如下: 通过配置标准访问列表,禁止PC1主机访问PC3主机. (1)进行sw的配置如下: SW#configure terminal //进入全局模式 Enter configuration commands, one per line. End with CNTL/Z. SW(config)#no ip routing //关闭路由功能 SW(config)#int f1/0 //进入接口模式 SW(config-if)#speed 100 //设置速率为

配置ACL访问控制列表

ACL访问控制列表理论部分:在学习过程中我们知道了网络的联通和通信,但是在实际环境中网络管理员经常会面临为难的局面,如必须拒绝那些不希望访问的连接,同时又要允许正常的访问.那么这时就诞生了ACL(访问控制列表)下面我们先看看ACL 的原理.1.ACL是使用包过滤技术,在路由器上读取第三层和四层包头的信息,根据预定好的规则进行过滤,达到访问控制的目的2.ACL的三种模式:?标准ACL (根据数据包的源IP地址来允许或者拒绝数据包,表号是1~99)?扩展ACL (根据数据包的源IP地址,目的IP地址

神州数码标准访问控制列表配置(ACL)

实验要求:熟练掌握标准访问控制列表配置方法 拓扑如下 R1 enable 进入特权模式 config 进入全局模式 hostname R1 修改名称 interface s0/1 进入端口 ip address 192.168.1.1 255.255.255.0 设置IP地址 physical-layer speed 64000 设置同步时钟 interface g0/6 进入端口 ip address 192.168.2.254 255.255.255.0 设置IP地址 exit 返回上一级

ACL访问控制列表(标准性、扩展性、命名性)

ACL访问控制列表 访问控制列表的工作原理: 出:已经过路由器处理正离开路由器接口的数据包. 入:已达到路由器接口的数据包,将被路由器处理. ACL对数据流的处理流程: 路由器将对数据包进行匹配,路由器将决定该数据包的通过或拒绝,拒绝后将下一跳匹配共匹配三次直到最后拒绝丢弃. ACL类型 标准访问:根据数据包的源iP地址来允许或拒绝.列表号1~99. 扩展访问:根据数据包的源IP地址.目的IP地址.指定协议.端口和标志来允许或拒绝.列表号100~199. 命名访问:允许使用标准访问或扩展访问,用

ACL 访问控制列表(一)

ACL 访问控制列表 access control list (路由器,三层交换) 包过滤防火墙 ACL访问控制列表的类型 标准访问控制列表基于源IP地址过滤数据包标准访问控制列表的访问控制列表号时1~99扩展访问控制列表基于源IP地址.目的IP地址.指定协议.端口和标志来过滤数据包扩展访问控制列表的访问控制列表号是100~199命名访问控制列表命名访问控制列表允许在标准和扩展访问控制列表使用中名称代替表号访问控制列表基于三层(IP)和四层(端口.协议)进行过滤 ACL匹配规则:自上而下 逐条匹

ACL 访问控制列表(二)

命名访问控制列表的配置实验 创建ACL语法格式: Router(config)# ip access-list { standard | extended }access-list-name 配置标准命名ACL语法格式: Router(config-std-nac)# [ Sequence-Number ] { permit | deny }source[ source-wildcard ] 配置扩展命名ACL语法格式: router(config-ext-nacl)# [ Sequence-N

Cisco PT模拟实验(17) 路由器IP访问控制列表配置

Cisco PT模拟实验(17) 路由器IP访问控制列表配置 实验目的: 理解两种IP访问控制列表的原理及功能 掌握常见IP访问控制列表的配置方法 实验背景: 公司的经理部.财务部们和销售部门分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部进行访问,但经理部可以对财务部进行访问. 技术原理: 路由器能提供防火墙的功能,根据一些预设置的ACL过滤规则对任何经过接口的流量进行过滤,说明哪些具体的通信(来自设备.协议或端口等)是被允许或拒绝,该功能是

运维ACL访问控制简单配置

问题 沿用练习三,编写并应用ACL策略,实现以下要求: 允许网段192.168.4.0/24在周一到周五的09:30至18:00通过代理访问外网 IP地址是192.168.4.205的主机在任何时间都不可以通过代理访问外网 4.2 方案 通过acl指令定义ACL访问控制权限. 通过http_access应用ACL访问控制列表. http_access策略及规则顺序: http_access根据访问控制列表允许或禁止某一类用户访问代理服务器: http_access规则按照它们的排列顺序进行匹配检